История разработки SIEM-систем

14 сентября 2022

 

Применение SIEM — систем (Security Information and Event Management) при решении задач обеспечения информационной позволяет обеспечить клиента всесторонней информацией об активности устройств и пользователей в контролируемой корпоративной сети, а также проводить анализ событий информационной безопасности в режиме реального времени. 

При помощи этих систем специалисты в области ИБ восстанавливают картину происходившего в сети и предотвращают развитие инцидентов до момента нанесения серьёзного ущерба компании. 

Что такое SIEM система – определение, принципы работы и задачи

SIEM (Security Information and Event Management) — программные решения, которые осуществляют мониторинг информационных систем и анализируют в режиме реального времени события ИБ получая данные от сетевых устройств, средств защиты информации, ИТ-сервисов, специального программного обеспечения и других источников. 

При внедрении SIEM-системы внедряются в виде совокупности аппаратных устройств, программного обеспечения или SaaS-решений. 

Основная задача SIEM-систем – осуществлять сбор и обработку событий, генерацию и отправку оповещений и отчётов, а также осуществлять функцию визуализации нарушений ИБ, для более глубокого анализа компьютерных инцидентов.

Сбор и обработка событий ИБ осуществляется в центральный репозиторий, где она данная информация обрабатывается и хранится в различных формах. При необходимости администратор ИБ может своевременно провести анализ этой информации, выявить потенциальные угрозы, а также сгенерировать необходимую отёчность для проведения криминалистической экспертизы или выявления новых угроз ИБ. [1]

Основными функциями типовой SIEM-системы являются: 

  • мониторинг, корреляция данных и анализ активности информационных систем и приложений; 
  • обнаружение актуальных внешних и внутренних угроз информационной безопасности; 
  • отслеживание действий пользователей при организации доступа к критически важным данным, таким как интеллектуальная собственность, государственная тайна или персональные данные;
  • мониторинга доступа к серверам и базам данных; 
  • контроль соответствия требованиям государственных регуляторов и нормативных документов;
  • предоставления аналитической информации специалистам в области ИБ для своевременного реагирования на инциденты и поиска актуальных угроз. 

Основным источником данных для SIEM-системы являются журналы функционирования приложений и программных подсистем, регистрационные данные пользователей, а также информация по критически важным ИТ-активам, приложениям, угрозам и уязвимостям (служба каталогов, базы данных управления конфигурациями (CMDB), информация о кадрах и последние данные по актуальным угрозам).

Обзор SIEM-систем – мировой и российский рынок

На современном этапе развития технологий в области ИБ SIEM-системы представляют собой совокупность из более мелких программных модулей и систем, которые могут использоваться как вместе в рамках одной сложной системы, так и по отдельности: 

       1. Платформы сбора и анализа событий.

Это вид программных продуктов, основная задача которых обеспечивать сбор и обработку интересующих данных, связанных с безопасностью функционирования целевой информационной системы (журналы работы системных служб и подсистем). 

       2. Платформы для расширенного обнаружения и устранения угроз (XDR).

Система XDR представляет собой единую платформу обнаружения инцидентов в безопасности и реагирования на них. Основной задачей XDR-системы является сбор и обработка архивных и актуальных данных для реагирования на компьютерные инциденты на следующих уровнях функционирования информационной системы уровнях: 

  • конечные точки доступа; 
  • сетевой уровень (шлюзы безопасности, сетевые сенсоры и сканеры);
  • замкнутые программные среды; 
  • сканеры уязвимостей; 
  • облачные среды и средства виртуализации; 
  • почтовые решения; 
  • системы управления доступом; 
  • DLP-системы. 

Внедрение одного или нескольких модулей XDR-системы позволит автоматизировать процессы сбора и анализа событий (в том числе с помощью механизмов машинного обучения), что позволит снизить временные затраты на реагирование и расследование инцидентов. 

        3.Управляемые службы обнаружения и реагирования. Основными задачами данного специального программного обеспечения являются контроль и расследование инцидентов ИБ, а также проверка и предоставление рекомендаций по локализации и исправлению недостатков в области безопасности. В основном, данные функции реализуются с помощью endpoint-клиентов установленных на рабочие станции пользователей или активное сетевое оборудование.

В настоящее время рынок SIEM-систем проходит различные стадии модернизации и деформации. Т.к. наиболее востребованной функцией внедрения SIEM-систем является эффективное и современное обнаружение угроз ИБ обнаружения рынок сместился в сторону разработки и внедрения систем из сегмента платформ расширенного обнаружения и устранения угроз (XDR).

Самыми крупными производителями SIEM-систем на международном рынке являются компании Splunk, Micro Focus, IBM и LogRhythm, которые занимают 32% рынка всех реализуемых SIEM-технологий. Наиболее популярными иностранными SIEM-системами, представленные в России являются [2]: 

  • IBM QRadar SIEM; 
  • McAfee Enterprise Security Manager; 
  • Micro Focus ArcSight 2021.1; 
  • FortiSIEM (Fortinet). 

В то же время современная ситуация в экономике и политике, диктует условия, при которых отечественные компании нуждаются в решениях, которые не только отвечают требованиям производительности, масштабируемости и отказоустойчивости, но и в дополнение ко всему перечисленному отвечают требованиям и имеют сертификаты соответствия отечественных регуляторов в области ИБ.

На сегодняшний из отечественных разработок можно выделить три наиболее перспективных и функциональных программных продукта:

  • KOMRAD Enterprise SIEM
  • RUSIEM
  • MaxPatrol SIEM

Историческая справка

SIEM-системы, как новый вид технологий появилась около 10 лет назад. За это время они прошли путь от одномодульных простых систем, обеспечивающих только функции сбора и анализа данных о состоянии информационной инфраструктуры системы заказчика, до сложных многоуровневых систем внедрение которых требует достаточного количества как временных, так и финансовых ресурсов. 

В настоящее время фирмы разработчики SIEM-систем занимаются вопросами интеграции между собой различных систем и подсистем (SOAR, UEBA, XDR), комплексное функционирование которых позволит обеспечить максимальный уровень защищенности информационной инфраструктуры заказчика. 

В соответствии с проведенной статистикой [3] обеспеченность SIEM-системами в российских компаниях выросла на 7%, динамика не замедлилась даже в пандемию, что позволяет сделать вывод об актуальности данного направления и перспективах в развитии технологий управления информацией о безопасности.

 

SIEM-системы и ее подвиды являются весьма перспективным направлением на рынке информационной безопасности. Это обусловлено тем, что внедрение данных технологий в современных инфраструктурных решениях компаний позволяет обеспечить контроль не только сетевого уровня внутри информационной системы компании-заказчика, но и обеспечить контроль виртуальных устройств и облачных решений различной степени сложности. 

В настоящее время ведется активная работа над разработкой многофункционального аналитического ядра, которое позволит в кротчайшие сроки обеспечить обнаружение инцидентов и реагирование на них, а также будет обладать удобными инструментами для расследования атак. 

Наиболее перспективным направлением в данных исследованиях является модернизация технологии XDR и интеграция подобных систем с другими, такими как SOAR, DLP, IAM / IDM, UEBA, SASE, CASB в рамках одной большой SIEM-системы. 

Этот новый класс систем позволит обеспечить объединение и централизацию управления различных средств информационной безопасности для построения более эффективной и функциональной системы защиты информации, позволяющей автоматически реагировать на атаки и расследовать инциденты. 

Кроме того, внедрение подобных систем позволит снять часть временной нагрузки с администраторов безопасности за счёт использования машинного обучения и автоматизации процессов мониторинга и анализа показателей функционирования целевых информационных систем.

 

Используемые источники

  1. ГОСТ Р ИСО/МЭК 27002-2021 https://docs.cntd.ru/document/1200179669
  2. https://www.anti-malware.ru/analytics/Market_Analysis/SIEM-2022
  3. https://www.anti-malware.ru/analytics/Market_Analysis/XDR-Russian-and-Global-Market